手机取证当前面临的挑战

文│ 浙江警察学院 陈光宣   中国科学院大学 刘雪花

移动电话尤其是智能手机已经成了人们日常工作生活中不可或缺的一项物品。而在法庭科学领域，由于手机中往往包含很多重要的信息，世界各地的执法机构已经越来越意识到手机取证的重要性以及它如何影响调查结果。

一、手机取证的定义及过程

电子数据取证是法庭科学的一个分支，专注于恢复和调查驻留在电子或数字设备中的原始数据。随着新功能和应用程序被整合到移动电话中，存储在设备上的信息量不断增长。移动电话成为便携式数据载体，它们可以跟踪用户的所有活动信息。随着移动电话在人们的日常生活和犯罪活动中越来越普遍，从手机获取的数据成为与刑事，民事案件有关的宝贵证据来源，如移动设备通话记录和GPS数据用于帮助调查2010年在纽约时代广场发生的爆炸事件。

当前，在电子数据取证调查中，基本都会包含移动设备的取证。手机取证是电子数据取证的一个分支，其主要目标是恢复和调查手机中的数据。电子数据取证要符合规范和流程，因此在取证过程中要限定和证明使用特定的取证技术或方法。对电子数据证据进行合理的法证检查的主要原则是不得修改原始证据。这对移动设备来说非常困难。一些取证工具需要与移动设备通信，因此标准写保护在取证期间不起作用。其他一些方法有时需要在提取数据之前移除芯片或在手机上安装引导加载程序。如果在不更改设备配置的情况下无法进行检查或数据采集，则额外采用的方法的过程和更改等动作必须进行测试，验证和记录。遵循适当的方法和指南对检查移动设备至关重要，因为它可以产生最有价值的数据。与任何证据收集一样，在检查过程中不遵循正确的程序可能导致证据丢失或损坏或使其不再被法庭接受。

手机取证过程分为三大步骤：扣押设备，数据获取，数据检查/分析。取证人员在扣押移动设备作为证据来源时会面临一些挑战。在犯罪现场，如果发现移动设备已关闭，检查人员应将设备放在法拉第袋（faraday bag）中，以防止设备自动开机时进行更改。这里，法拉第袋专门设计用于将手机与网络隔离。如果手机被PIN或密码锁定或加密，取证人员就要设法绕过锁定或确定访问设备的PIN。移动电话是联网设备，可以通过不同的机制发送和接收数据，例如电信系统，Wi-Fi接入点和蓝牙。因此，如果电话处于运行状态，则犯罪分子可以通过执行远程擦除命令安全地擦除存储在电话上的数据。如果手机是打开状态，应将其放入法拉第袋中。如果可能，在将移动设备放入法拉第袋之前，通过启用飞行模式并禁用所有网络连接（Wi-Fi，GPS，热点等），将其与网络断开以保护证据。一旦移动设备被正确扣押，取证人员可能需要若干取证工具来获取和分析存储在移动设备上的数据。

二、手机取证所面临的挑战

移动设备是动态系统，在提取和分析电子数据证据时会给取证人员带来很多挑战。来自不同制造商的不同型号的手机的数量的快速增加使得难以开发用于检查所有类型的设备的单个工具、软件和方法。 随着技术的进步和新技术的引入，移动设备不断发展。 此外，每个移动设备都设计有各种嵌入式操作系统。 因此，取证人员需要特殊的知识和技能来获取和分析设备。

移动设备取证面临的最大挑战之一是其上的数据可以跨多个设备访问，存储和同步。由于数据是易变的并且可以远程快速转换或删除，因此需要更多的努力来保存这些数据。手机取证与传统计算机取证不同，给取证人员提出了独特的挑战。取证人员往往很难从移动设备上获取电子数据证据，原因如下：

1.硬件差异问题：市场上充斥着来自不同制造商的不同型号的手机。取证人员可能会遇到不同类型的手机，这些手机的大小，硬件，功能和操作系统都不同。此外，由于产品开发周期较短，新型号手机出现非常频繁。随着手机领域发展日新月异，取证人员必须适应手机技术的发展趋势，并在手机取证技术方面保持最新状态。

2.移动操作系统问题：与Windows多年来主导市场的个人电脑不同，移动设备广泛使用更多类型的操作系统，包括Apple的iOS，谷歌的Android，RIM的黑莓操作系统，微软的Windows Mobile，惠普的webOS，诺基亚的Symbian操作系统等，不同的操作系统对取证工具、取证软件以及取证人员的专业技术水平都有相应的要求。

3.移动设备平台安全功能问题：现代移动设备平台包含许多内置安全功能，可以保护用户数据和隐私。 这些特征在手机取证过程中会成为障碍。 例如，某些手机设备具有从硬件层到软件层的默认加密机制。取证人员可能需要突破这些加密机制以从设备中提取数据。

4.资源缺乏问题：市面上移动设备种类繁多，单个取证工具可能不支持所有设备或执行所有必需的功能，因此需要使用组合工具。而且为特定手机选择合适的工具可能很困难，有时需要专门定制特殊的工具、软件才能获取某些数据。

5.设备状态问题：即使移动设备看起来处于关闭状态，后台进程仍可能运行。 例如，在大多数手机中，即使手机关机，闹钟仍然有效。从一个状态突然转换到另一个状态可能导致数据丢失或修改。

6.反取证技术问题：反取证技术如数据隐藏，数据混淆，数据伪造和安全擦除，使得电子数据的调查更加困难。

7.证据的动态性质：电子数据证据可能有意或无意地被轻易改变。 例如，浏览手机上的应用程序可能会改变该应用程序在设备上存储的数据。

8.意外重置：手机提供重置所有配置的功能。取证时意外重置设备可能会导致数据丢失。

9.设备更改问题：更改设备的可能方法可能包括移动应用程序数据，重命名文件以及修改制造商的操作系统。在这种情况下，应考虑用户或者嫌疑人的专业知识。

10.密码恢复：如果设备受密码保护，则取证人员需要想办法访问设备而不会损坏设备上的数据。

11.通信屏蔽：移动设备通过蜂窝网络，Wi-Fi网络，蓝牙和红外线进行通信。 由于设备通信可能会改变设备数据，因此在扣押设备后应消除设备继续通信的可能性。

12.恶意程序：设备可能包含恶意软件或恶意程序，例如病毒或特洛伊木马。这样的恶意程序可能试图通过有线接口或无线接口感染其他设备，因此取证时需格外小心。

13.法律问题：移动设备可能涉及犯罪，可能跨越地理边界，为了解决这些涉及多地区管辖的问题，取证人员应了解犯罪的性质和相关区域法律知识。

手机证据属于证据的范畴，因此手机证据也必须具备证据的客观性、合法性、关联性这三个基本属性。因此，在手机取证过程中，还需严格遵循取证合法原则，取证及时原则，取证备份原则，环境安全原则，证据保管流转链原则。这些原则是取证工作的标准要求，能指导取证工作各环节，使取证工作达到一定的程度，符合一定的标准。严格遵循上述原则可以使手机证据从发现到取证完成，以及最后出具报告的整个过程中都能够保持其合法性和客观性，获取的证据能够经得起法庭质证的严格考验。（基金项目：重庆市社会民生科技创新项目[cstc2015shmszx40004]）

本文刊登于《中国信息安全》杂志2019年第5期

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。